rodo faq
#RODOFAQPoradniki

Czy z firmą sprzątającą należy podpisać umowę powierzenia? #RODOFAQ

27 kwi 2022
0

Dość często, w zakresie współpracy z różnymi podmiotami, które uzyskują lub mogą uzyskać dostęp do dokumentów zawierających dane osobowe, pojawiają się pytania i wątpliwości. Główne pytanie w tym zakresie dotyczy tego w jaki sposób zabezpieczyć interesy i dane osobowe administratora?

Nie inaczej jest w przypadku korzystania z usług firmy sprzątającej. A od strony „praktycznej” – czy z firmą sprzątającą należy podpisać umowę powierzenia?

Czy firma sprzątająca przetwarza dane osobowe?

Żeby odpowiedzieć na pytanie postawione w tytule artykułu trzeba zrozumieć i przeanalizować dwie kwestie:

  • zdefiniować czym jest przewarzanie danych oraz zastanowić się czy, którąś z operacji przetwarzania wykonują osoby sprzątające,
  • określić jakie są obowiązki firmy sprzątającej.

Jest to niezbędne do ustalenia czy dochodzi do powierzenia przetwarzania danych osobowych.

Art. 2 pkt 2 RODO: ,,przetwarzanie'' oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;

W powyższej definicji ciężko odnaleźć operację na danych, które miałyby wykonywać osoby zajmujące się utrzymaniem porządku w biurze.

Równie istotne jest zdefiniowanie zakresu świadczonej przez firmę sprzątającą usługi. Umowa bowiem może dotyczyć klasycznych usług sprzątających, bądź obejmować dodatkowe usługi, jak na przykład niszczenie lub porządkowanie dokumentów. Informacje te niezbędne są, aby ustalić czy do wykonania obowiązków konieczny jest dostęp do danych osobowych.

Usługi klasyczne

Do świadczenia klasycznych usług sprzątających nie jest niezbędny dostęp do danych. Zadania firmy w takim przypadku nie są związane z przetwarzaniem danych osobowych. Nie wyklucza to jednak, że osoby wykonujące tego rodzaju czynności mogą w sposób przypadkowy uzyskać wgląd do danych osobowych. Pomimo tego, podpisanie umowy powierzenia w takim przypadku nie będzie konieczne.

Administrator powinien jednak z związku z korzystaniem z takich usług wdrożyć odpowiednie środki techniczne i organizacyjne, których celem będzie zapewnienie odpowiedniej ochrony danych osobowych. Jednym z możliwych do zastosowania środków jest podpisanie z osobami zajmującymi się sprzątaniem oświadczeń o zachowaniu danych w poufności lub dodanie odpowiednich zapisów o zachowaniu poufności i bezpieczeństwie informacji do umowy głównej. Administrator powinien również rozważyć wprowadzenie odpowiednich środków bezpieczeństwa aby zminimalizować ryzyko dostępu do danych osób nieuprawnionych.

Świadczenie usług dodatkowych

Inaczej wygląda sytuacja jeśli firma sprzątająca zapewnia dodatkowe usługi takie jak niszczenie dokumentów. W takiej sytuacji, aby mogła ona wykonać swoje usługi dostęp do danych osobowych jest jej niezbędny. Niszczenie bowiem jest jedną z operacji, którą można wykonywać na danych osobowych. W związku z tym konieczne będzie podpisanie z firmą sprzątającą umowy powierzenia przetwarzana danych osobowych, ponieważ jej obowiązki będą ściśle związane z przetwarzaniem danych.

wsparcie RODO

Profesjonalne wsparcie

Mamy nadzieję, że poradnik był dla Ciebie pomocny. Jeśli nie masz czasu na tworzenie umowy powierzenia albo chcesz ją zweryfikować, zapraszamy do skorzystania z naszej pomocy.

Zobacz, w jaki sposób możemy Ci pomóc:

Sprawdź

Podsumowanie

Umowę powierzenia przetwarzania danych osobowych administratorzy danych podpisują w sytuacji, gdy zlecają zewnętrznemu podmiotowi świadczenie usług związanych z wykonywaniem pewnych operacji / czynności na danych osobowych. Bez wątpienia klasyczne usługi sprzątające nie zaliczają się do tego kręgu. Do sprzątania biura nie jest niezbędny dostęp dodanych osobowych. Jednak warto aby administrator danych zastanowił się nad wdrożonymi środkami ochrony organizacyjnej czy fizycznej. Kluczowa w tym zakresie może okazać się odpowiednia kontrola dostępu do pomieszczeń, wydzieleniem stref lub pomieszczeń newralgicznych, które podlegać powinny  szczególnej ochronie.

 

Pobierz artykuł

Pobierz artykuł w PDF

Źródła:

  • Zadania IOD - UODO
  • Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Ogólne rozporządzenie o ochronie danych)

,
Prawnik, absolwentka Wydziału Prawa i Administracji Uniwersytetu Kardynała Stefana Wyszyńskiego w Warszawie. Ukończyła również studia podyplomowe „Wykonywanie funkcji inspektora ochrony danych” organizowane przez Instytutu Nauk Prawnych Polskiej Akademii Nauk. Doświadczenie zawodowe zdobywała w kancelariach oraz instytucjach państwowych. Doświadczony praktyk w zakresie prawa ochrony danych osobowych. Przeprowadziła kilkadziesiąt projektów audytorsko – wdrożeniowych z zakresu ochrony danych osobowych. Wdrożyła RODO w międzynarodowych Grupach Kapitałowych. Zrealizowała ponad 200 godzin szkoleń z zakresu ochrony danych osobowych. Na co dzień sprawuje opiekę merytoryczna nad Klientami Spółki. Od dnia 25 maja 2018 roku jest członkiem zespołu inspektora ochrony danych osobowych u podmiotów współpracujących z Lex Artist. Swoje zainteresowania zawodowe skupia wokół zagadnień związanych z ochroną danych osobowych w obszarze marketingu i umów powierzenia przetwarzania danych osobowych.

Powiązane artykuły

Ciekawostki
Zasady pracy zdalnej a RODO – poradnik
Analizy
Firmy kurierskie a RODO
rodo faq
#RODOFAQ
Czym są pseudonimizacja i anonimizacja danych osobowych? #RODOFAQ

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

TOP 5 najpopularniejsze artykuły

obowiązek informacyjny RODO
Obowiązek informacyjny w RODO
414 Komentarze
05 kwi 2018
zgoda RODO
Zgoda na przetwarzanie danych osobowych według RODO
159 Komentarze
19 maj 2017
ochrona danych osobowych
Czym są dane osobowe wg RODO?
146 Komentarze
27 mar 2017
dane osobowe rodo
Umowa powierzenia przetwarzania danych osobowych według RODO
130 Komentarze
24 paź 2016
monitoring RODO
Monitoring wizyjny a ochrona danych osobowych
55 Komentarze
30 gru 2016

Najnowsze komentarze

jan pawul
29 lut 2024
Witam :-) Czy cytowanie treści z 'print screen' w książce lub na blogu czyli imiona i ...
Chrobok
27 lut 2024
Publikacja ta to naprawdę cenny wkład w dyskusję na temat omawianego zagadnienia! Autor...
Radek
20 lut 2024
Dużo się dowiedzieliśmy, dzięki!
Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO

lex artist

Ochrona danych osobowych jest naszą specjalizacją od 16 lat.
Zaczęliśmy pomagać firmom na długo zanim biznes poznał RODO.
Wieloletnie doświadczenie to nasz atut, tak jak i zgrany zespół ekspertów.

  • Szczegółowe audyty RODO
  • Interesujące e-learningi
  • Szkolenia dla IOD
  • Outsourcing IOD
  • i wiele więcej

Zobacz, co jeszcze możemy dla Ciebie zrobić!